华为USG 5310基础配置分册带目录.docx

华为USG 5310基础配置分册 华为USG 5310基础配置分册 目录 华为USG 5310基础配置分册 1 父主题： 安装与配置 10 配置指南 基础配置分册 10 快速入门 10 搭建配置环境 12 配置环境简介 13 通过Console口接入设备 14 通过Telnet方式接入设备 15 通过SSH方式接入设备 19 通过Web方式接入设备 23 命令行接口介绍 24 命令行接口简介 25 命令行接口概述 25 命令级别 26 命令视图 27 在线帮助 37 错误提示信息 38 历史命令 39 编辑功能 39 显示功能 40 正则表达式 41 快捷键简介 43 配置快捷键 45 配置系统参数 46 切换语言模式 46 配置设备名称 47 配置系统时间 47 配置登录提示信息 47 配置命令级别 48 锁定配置界面 48 查看系统信息 49 配置登录用户 49 登录用户简介 50 用户界面概述 50 用户管理概述 52 登录用户配置流程 54 配置用户界面属性 54 配置VTY用户界面的最大个数 55 配置用户登录失败次数 55 配置登录失败用户被加入黑名单的时间 55 配置异步接口属性 56 配置终端属性 57 配置消息传递 57 配置自动执行的命令 58 配置呼入呼出限制 58 配置登录验证方式 59 配置Password验证 59 配置AAA验证 60 配置不验证 61 配置本地用户名和密码验证 61 配置用户界面权限级别 62 配置切换用户权限级别的口令 62 切换用户权限级别 63 维护登录用户 63 查看用户界面信息 64 查看本地用户信息 64 查看在线用户信息 64 配置Password方式登录用户举例 65 配置License 66 License简介 67 激活License 67 检查License使用情况 68 调试License 68 管理设备配置 69 设备配置简介 69 设备配置方式 69 配置文件概述 70 文件系统概述 70 管理配置文件 71 保存当前配置 71 查看系统配置 72 导入导出配置文件 72 配置下次启动使用的配置文件 73 清除配置文件 74 比较当前配置与保存配置 74 查看启动时使用的文件信息 75 管理文件系统 75 管理目录 75 管理文件 76 执行批处理文件 76 管理存储设备 77 配置文件系统提示方式 77 配置下次启动时使用的系统软件 78 调试文件系统 78 配置文件系统举例 79 配置设备模式 80 工作模式简介 80 工作模式分类 81 路由模式 81 透明模式 82 混合模式 82 配置路由模式 83 配置透明模式 84 配置透明模式 84 配置透明模式的统一安全网关管理地址 85 配置对未知MAC地址的IP报文的处理方式 85 配置Trunk端口 86 检查配置结果 86 配置混合模式 87 配置透明模式举例 87 配置安全区域 90 安全区域简介 91 创建安全区域 92 将接口加入安全区域 93 检查配置结果 94 配置接口 95 接口简介 95 配置以太网接口 97 配置接口描述信息 98 启动/关闭接口 99 配置接口IP地址 100 配置接口MTU 101 配置接口速率 101 配置接口工作方式 102 配置接口报文保序功能 102 配置接口环回方式 103 创建以太网子接口 103 检查配置结果 104 调试以太网接口 104 配置以太网接口举例 104 配置Eth-Trunk接口 108 创建Eth-Trunk接口 109 创建Eth-Trunk子接口 109 配置Eth-Trunk接口IP地址 110 配置Eth-Trunk接口MAC地址 110 切换Eth-Trunk接口工作模式 110 配置影响Eth-Trunk状态的Up链路下限阈值 111 配置Eth-Trunk接口的负载分担方式 111 检查配置结果 112 配置Eth-Trunk接口举例 112 配置VLAN 116 VLAN简介 117 LAN互联存在的问题 117 VLAN概述 118 配置路由模式下的VLAN 119 配置透明模式下的VLAN 120 配置接口加入VLAN 120 配置Trunk端口 121 配置VLAN接口 121 检查配置结果 122 配置路由模式下的VLAN举例 122 配置ARP 127 ARP简介 127 动态ARP简介 128 静态ARP简介 128 配置动态ARP 128 配置ARP表项超时探测次数 129 配置ARP表项超时时间 129 启用USG5300组播MAC地址学习功能 130 检查配置结果 130 配置静态ARP 131 维护ARP 132 调试ARP 132 清除ARP表项 133 配置IP地址 133 IP地址简介 134 IP地址介绍 134 IP地址的特点 137 IP地址的分配方法 137 子网划分举例 138 IP地址与主机名和物理地址的关系 138 配置接口IP地址 139 配置接口通过协商获得IP地址 140 配置服务器端为客户端分配IP地址 140 配置客户端接口IP地址为可协商 141 检查配置结果 142 配置接口IP地址举例 142 配置静态路由 143 静态路由简介 144 静态路由 144 缺省路由 145 目的地址与掩码 145 出接口和下一跳地址 145 配置静态路由 146 配置缺省路由 146 查看路由表 147 配置静态路由举例 147 配置策略路由 151 策略路由简介 152 配置策略路由的匹配规则 152 配置策略路由的动作 153 应用策略路由 153 检查配置结果 154 配置策略路由举例 154 配置RIP 157 RIP简介 157 RIP的工作机制 158 RIP的版本 159 RIP的启动和运行过程 160 配置RIP基本功能 160 启用RIP功能 161 配置应用RIP的网段 161 配置接口的RIP工作状态 162 配置接口的RIP版本 162 检查配置结果 162 控制RIP路由信息 163 配置接口的附加度量值 164 配置RIP路由聚合 164 配置禁止RIP接收主机路由 165 配置缺省路由权 165 配置路由过滤 166 配置RIP协议优先级 166 配置RIP引入其他协议路由 167 检查配置结果 167 调整优化RIP网络 168 配置RIP定时器 168 配置水平分割 169 配置RIP报文的零域检查 170 配置RIP-2报文的认证方式 170 配置RIP邻居 171 检查配置结果 171 调试RIP 172 配置RIP举例 172 配置OSPF 175 OSPF简介 175 OSPF概述 176 OSPF的路由计算过程 177 OSPF基本概念 177 OSPF的区域类型 179 OSPF的协议报文 181 OSPF的LSA类型 182 配置OSPF基本功能 183 启用OSPF功能 184 配置应用OSPF的网段 184 检查配置结果 185 配置OSPF区域特性 185 配置OSPF的STUB区域 186 配置OSPF的NSSA区域 187 配置OSPF的虚连接 187 检查配置结果 187 配置OSPF网络类型 188 配置OSPF接口的网络类型 188 配置选举DR时的优先级 189 检查配置结果 190 控制OSPF路由信息 191 配置OSPF路由聚合 191 配置OSPF路由过滤 192 配置OSPF链路开销 193 配置OSPF协议优先级 193 配置OSPF引入外部路由 194 检查配置结果 194 调整优化OSPF网络 195 配置OSPF定时器 196 配置接口传送LSA的延迟时间 196 配置SPF计算间隔 197 配置禁止接口接收和发送OSPF报文 197 配置OSPF验证 198 配置DD报文中的MTU 199 配置OSPF的Opaque能力 199 配置OSPF网管功能 199 检查配置结果 200 维护OSPF 201 调试OSPF 201 重启OSPF进程 202 配置举例 202 配置OSPF多进程举例 203 配置OSPF的DR选举举例 207 配置OSPF虚连接举例 212 配置OSPF验证举例 216 配置OSPF单进程组网举例 221 配置BGP 225 BGP简介 226 BGP概述 226 BGP的消息类型 227 BGP的路由机制 229 MBGP 230 BGP基本概念 230 配置BGP基本功能 233 启用BGP功能 233 创建IBGP对等体组 234 创建纯EBGP对等体组 234 创建混合EBGP对等体组 235 激活对等体 235 配置BGP连接所使用的本地接口 236 配置EBGP连接的最大跳数 236 进入扩展地址族视图 236 检查配置结果 237 配置BGP路由属性 238 配置BGP路由优先级 238 配置本地优先级 239 配置本机的缺省MED值 239 比较来自不同AS的路由的MED值 240 配置在发布路由时将自身地址作为下一跳 240 配置发送BGP更新报文时不携带私有AS号 241 配置本地AS号的重复次数 242 配置把团体属性传给对等体组 242 检查配置结果 243 配置BGP路由过滤 243 配置BGP对全局路由信息进行过滤 244 对特定对等体的路由信息应用路由策略 245 按AS路径过滤特定对等体的路由信息 245 按ACL过滤特定对等体的路由信息 246 按地址前缀列表过滤特定对等体的路由信息 246 检查配置结果 247 控制路由信息的发布与接收 247 配置BGP发布本地路由 248 配置BGP引入其他协议路由 249 配置向对等体发送缺省路由 249 配置BGP路由自动聚合 250 配置BGP路由手动聚合 250 配置BGP路由衰减 251 检查配置结果 251 调整和优化BGP网络 252 配置BGP全局定时器 253 配置对等体的定时器 254 配置对等体发送路由更新报文的时间间隔 254 配置BGP的MD5认证 255 组建大型BGP网络 255 配置BGP负载分担 256 配置BGP路由反射器 256 配置BGP自治系统联盟 256 检查配置结果 257 维护BGP 258 调试BGP 258 清除BGP统计信息 259 配置举例 260 配置自治系统联盟属性举例 260 配置基于迭代的BGP负载分担举例 266 配置路由策略 272 路由策略简介 273 路由策略与策略路由 273 过滤器 274 路由策略的应用 275 配置过滤列表 275 配置地址前缀列表 276 配置AS路径访问列表 276 配置团体属性列表 277 检查配置结果 277 配置路由策略 278 创建路由策略 278 配置if-match子句 279 配置apply子句 280 应用路由策略 281 检查配置结果 281 路由策略配置举例 282 配置IP性能 288 优化IP性能 288 配置接口最大传输单元 288 配置TCP属性 289 检查配置结果 290 维护IP性能 291 调试IP性能 291 清除IP性能统计信息 292 配置对分片报文的处理 293 对分片报文的处理简介 293 配置分片缓存功能 294 配置分片报文直接转发功能 294 配置DNS 295 DNS简介 295 配置静态域名解析 296 配置DHCP 296 DHCP简介 297 DHCP服务 297 DHCP中继 299 配置基于全局地址池的DHCP服务器 300 启用DHCP服务 301 配置DHCP全局地址池 301 配置用于静态地址绑定的地址池 302 配置DHCP客户端的DNS参数 303 配置DHCP客户端的NetBIOS参数 303 配置DHCP客户端的出口网关 304 配置DHCP自定义选项 305 配置为客户端分配IP地址 306 检查配置结果 307 配置基于接口地址池的DHCP服务器 307 启用DHCP服务 308 配置接口地址池 308 配置接口地址池的DNS参数 309 配置接口地址池的NetBIOS参数 310 配置接口地址池的DHCP自定义选项 311 检查配置结果 312 配置基于多个子接口地址池的DHCP服务器 312 启用DHCP服务 313 配置子接口的地址池 314 配置多个子接口地址池的DNS参数 315 配置多个子接口地址池的NetBIOS参数 316 配置多个子接口地址池的DHCP自定义选项 317 检查配置结果 318 配置DHCP服务的安全功能 319 启用伪DHCP服务器检测功能 319 启用防止IP地址重复分配功能 320 检查配置结果 321 配置DHCP中继 321 启用DHCP服务 322 配置接口的IP中继地址 322 配置中继采用轮询方式或广播方式 323 配置通过中继为接口分配IP地址 323 请求DHCP服务器释放客户端的IP地址 323 检查配置结果 324 维护DHCP 324 调试DHCP 325 复位DHCP绑定信息 325 释放DHCP的冲突地址 326 清除DHCP统计信息 327 配置举例 327 配置基于全局地址池的DHCP服务器举例 328 配置基于接口地址池的DHCP服务器举例 331 配置DHCP中继举例 334 父主题： 安装与配置 华为赛门铁克专有和保密信息 版权所有 © 成都市华为赛门铁克科技有限公司 配置指南 基础配置分册 读者对象 本文档介绍了USG5300的基础配置，包括快速入门、搭建配置环境、命令行接口介绍、系统参数配置、登录用户配置、配置License、管理设备配置、配置设备模式、配置安全区域、配置接口、配置VLAN、配置ARP、配置IP地址、配置静态路由、配置策略路由、配置RIP、配置OSPF、配置BGP、配置路由策略、配置IP性能、配置对分片报文的处理、配置DNS、配置DHCP。 本文档提供了USG5300基础配置的配置方法和配置举例。 本文档主要适用于以下工程师： · 安装调测工程师 · 数据配置工程师 · 系统维护工程师 父主题： 配置-命令行方式 华为赛门铁克专有和保密信息 版权所有 © 成都市华为赛门铁克科技有限公司 快速入门 介绍配置指南的阅读指引及完成设备配置的基本过程，指导您快速掌握设备的配置。 阅读指引 USG5300的配置分为以下几个分册进行介绍： · 基础配置 介绍使设备达到基本可用的配置操作。包括搭建配置环境、配置工作模式，以及接口、路由等使USG5300与其他网络设备互联互通的配置。 · 可靠性 USG5300提供双机热备功能，两台设备的状态信息、配置命令可以进行备份，避免单点故障带来的损失。双机热备的配置在配置各类安全特性之前，部署网络时进行。 · 防火墙 介绍USG5300防火墙功能的配置过程，包括包过滤、NAT、攻击防范和流量监控等。 · VPN 介绍USG5300 VPN功能的配置过程，包括L2TP、GRE和IPSec。 · 系统管理 介绍USG5300日志、FTP服务、维护和调试等系统维护操作。 各分册之间的关系如图1所示。 图1 配置指南各分册之间的关系 基本配置过程 说明： 以下只给出使USG5300完成基本安全功能的配置过程，其他功能的配置请参见对应功能的配置。 USG5300在路由模式下的基本配置过程如表1所示。 表1 路由模式USG5300的基本配置过程 序号 任务 说明 1 通过Console口接入设备 直接通过Console口接入设备进入命令行配置界面。 2 配置工作模式 系统默认是路由模式，如果是初始配置可跳过此步。 3 配置以太网接口 配置以太网接口IP地址及相关属性。 4 配置安全区域 根据实际组网将接口加入安全区域，加入安全区域后才能触发安全策略的检查。 5 配置静态路由 包括静态路由及默认路由的配置，同时USG5300也支持动态路由，具体可以参见RIP、OSPF、BGP的配置。 6 配置包过滤 用于控制两个不同安全级别网络之间的数据流动，根据设置的规则转发或拒绝报文。 7 配置基本安全策略 包括MAC和IP地址绑定、黑名单、会话表等基本的安全策略的配置过程，根据实际情况选择配置。 8 配置NAT 当组网中涉及私网、公网地址转换时需要配置NAT。 9 配置攻击防范 配置USG5300对DDoS、扫描类等网络攻击的防范功能。 透明模式USG5300的基本配置过程如表2所示。 表2 透明模式USG5300的基本配置过程 序号 任务 说明 1 通过Console口接入设备 直接通过Console口接入设备进入命令行接口。 2 配置工作模式为透明模式 透明模式的USG5300相当于工作在二层，无IP地址。 3 配置安全区域 根据实际组网将接口加入安全区域，加入安全区域后才能触发安全策略的检查。 4 配置VLAN 配置接口允许通过的VLAN，与其他设备对接。 5 配置包过滤 用于控制两个不同安全级别网络之间的数据流动，根据设置的规则转发或拒绝报文。 6 配置基本安全策略 包括MAC和IP地址绑定、黑名单、会话表等基本的安全策略的配置过程，根据实际情况选择配置。 7 配置攻击防范 配置USG5300对DDoS、扫描类等网络攻击的防范功能。 混合模式主要用于双机热备，心跳口工作在三层，其他与外界网络相连的接口工作在二层，也就是实现了透明模式下的双机热备功能。 父主题： 配置指南 基础配置分册 华为赛门铁克专有和保密信息 版权所有 © 成都市华为赛门铁克科技有限公司 搭建配置环境 为了配置、监控和维护USG5300，需要搭建配置环境。建立配置终端（通常是PC机）与USG5300之间的连接后，用户便可以在配置终端上对USG5300下发操作指令。 · 配置环境简介 用户可以通过Console口直接登录USG5300进行配置，也可以通过Telnet、SSH和Web方式登录进行配置。 · 通过Console口接入设备 通过Console接口对USG5300进行本地配置是一种可靠的配置维护方式。当USG5300初次上电、与外部网络连接中断或出现其他异常情况时，可以采用这种方式配置USG5300。 · 通过Telnet方式接入设备 网络管理员可以通过Telnet方式登录到USG5300进行配置。 · 通过SSH方式接入设备 通过SSH方式接入USG5300进行配置能更好地保证数据信息交换的安全。 · 通过Web方式接入设备 采用Web方式对USG5300进行配置前需要先进行此配置。 父主题： 配置指南 基础配置分册 华为赛门铁克专有和保密信息 版权所有 © 成都市华为赛门铁克科技有限公司 配置环境简介 用户可以通过Console口直接登录USG5300进行配置，也可以通过Telnet、SSH和Web方式登录进行配置。 表1 配置环境简介 网络环境 连接图 说明 通过Console口搭建配置环境 适用于配置终端可以直接连接USG5300的情况下，以Console用户登录USG5300。 具体请参见“通过Console口接入设备”。 通过局域网搭建Telnet或SSH配置环境 适用于配置终端PC和USG5300以太网口的IP地址在同一网段，通过Telnet、SSH方式登录USG5300。 具体请参见“通过Telnet方式接入设备”和“通过SSH方式接入设备”。 通过广域网搭建Telnet或SSH配置环境 适用于配置终端PC和USG5300之间有可达路由，通过Telnet、SSH方式登录USG5300。 具体请参见“通过Telnet方式接入设备”和“通过SSH方式接入设备”。 通过局域网搭建Web配置环境 适用于配置终端PC通过Web方式登录USG5300。 具体请参见“通过Web方式接入设备”。 父主题： 搭建配置环境 华为赛门铁克专有和保密信息 版权所有 © 成都市华为赛门铁克科技有限公司 通过Console口接入设备 通过Console接口对USG5300进行本地配置是一种可靠的配置维护方式。当USG5300初次上电、与外部网络连接中断或出现其他异常情况时，可以采用这种方式配置USG5300。 组网需求 将PC的串口通过标准RS-232电缆与USG5300的Console接口连接，如图1所示。 图1 通过Console口搭建本地配置环境 操作步骤 1. 在PC上运行终端仿真程序（如Windows 2000的HyperTerminal超级终端），建立新连接，如图2所示。 图2 新建连接 2. 单击“确定”。 3. 选择实际连接时使用的微机上的RS-232串口，如图3所示。 图3 选择实际连接使用的微机串口 4. 单击“确定”。 5. 配置终端通信参数如图4所示。 图4 端口通信参数配置 6. 单击“确定”。 7. 在超级终端界面，选择“文件 > 属性”菜单项，进入“COMM1属性”对话框，选择“设置”页签，设置终端仿真类型为VT100。如图5所示。 图5 选择终端仿真类型 8. 单击“确定”。 完成超级终端的配置。 USG5300上电自检，系统自动进行配置，自检结束后提示用户键入回车，输入默认用户名“admin”和密码“Admin@123”，直到出现命令行提示符<USG5300>。此时可以键入命令，查看USG5300运行状态。对USG5300进行配置，需要帮助时键入“?”，关于具体的操作请参见后续各章节。 说明： 关于修改用户名/密码的相关配置请参见“配置登录用户”中的描述。 父主题： 搭建配置环境 华为赛门铁克专有和保密信息 版权所有 © 成都市华为赛门铁克科技有限公司 通过Telnet方式接入设备 网络管理员可以通过Telnet方式登录到USG5300进行配置。 前提条件 配置终端PC与USG5300之间路由可达。 组网需求 如果建立本地配置环境，需要将远端作为Telnet Client的PC和USG5300通过局域网连接。如图1所示。 图1 通过局域网搭建Telnet配置环境 如果建立远程配置环境，需要将远端作为Telnet Client的PC和USG5300通过广域网连接，如图2所示。 图2 通过广域网搭建Telnet配置环境 操作步骤 1. 通过USG5300的Console接口搭建配置环境。具体方法请参见“通过Console口接入设备”。 2. 通过Console接口配置IP地址、Telnet登录用户名、口令、本地AAA认证以及Telnet登录认证。 # 进入系统视图。 <USG5300> system-view # 配置IP地址。 [USG5300] interface GigabitEthernet 0/0/0 [USG5300-GigabitEthernet0/0/0] ip address 10.1.1.1 255.255.255.0 说明： 如果USG5300工作在透明模式下，则不能配置接口的IP地址，只能配置管理IP地址，并从配置终端PC以Telnet方式登录此IP地址。配置USG5300管理IP地址的内容请参见“配置透明模式的统一安全网关管理地址”。 [USG5300-GigabitEthernet0/0/0] quit # 进入AAA视图。 [USG5300] aaa # 配置本地用户的用户名和密码。 [USG5300-aaa] local-user telnetuser password simple telnetpwd123 # 配置本地用户的类型。 [USG5300-aaa] local-user telnetuser service-type telnet # 配置本地用户的等级。 [USG5300-aaa] local-user telnetuser level 3 # 退回系统视图。 [USG5300-aaa] quit # 进入VTY 0-4用户接口视图。 [USG5300] user-interface vty 0 4 # 配置对用户的认证方式为AAA。 [USG5300-ui-vty0-4] authentication-mode aaa # 退回系统视图。 [USG5300-ui-vty0-4] quit 3. 通过Console接口配置静态路由。 说明： 图2中，USG5300上需要配置静态路由。假设GigabitEthernet 0/0/0的下一跳IP地址为10.1.1.5/24 [USG5300] ip route-static 30.3.3.0 24 10.1.1.5 4. 将GigabitEthernet 0/0/0接口加入Trust区域。 5. [USG5300] firewall zone trust 6. [USG5300-zone-trust] add interface GigabitEthernet 0/0/0 [USG5300-zone-trust] quit 7. 通过Console接口配置域间包过滤。 说明： 本步骤配置以局域网环境为例。如果是广域网环境，将IP地址10.1.1.2替换为30.3.3.3即可。 # 配置ACL规则。 [USG5300] acl number 3101 [USG5300-acl-adv-3101] rule permit ip source 10.1.1.1 0 destination 10.1.1.2 0 [USG5300-acl-adv-3101] quit [USG5300] acl number 3102 [USG5300-acl-adv-3102] rule permit ip source 10.1.1.2 0 destination 10.1.1.1 0 [USG5300-acl-adv-3102] quit # 将ACL规则应用在Trust和Local区域之间。 [USG5300] firewall interzone trust local [USG5300-interzone-local-trust] packet-filter 3101 outbound [USG5300-interzone-local-trust] packet-filter 3102 inbound 8. 在配置终端PC上配置静态路由。 图2中，配置终端PC上需要配置静态路由。假设PC的下一跳IP地址为30.3.3.2/24，则需要在PC上配置：route add 10.1.1.1 mask 255.255.255.0 30.3.3.2。 9. 在配置终端PC上运行Telnet程序，键入USG5300的接口GigabitEthernet 0/0/0的IP地址，建立连接。如图3所示。 图3 运行Telnet程序 10. Telnet界面上显示如下信息，输入用户名telnetuser，口令telnetpwd123，然后出现命令行提示符<USG5300>。 11. Login authentication 12. Username:telnetuser 13. Password:************ 14. Note：The max number of VTY users is 5,and the current number of VTY users on line is 1. 15. NOTICE:This is a private communication system. 16. Unauthorized access or use may lead to prosecution. <USG5300> 此时可以键入命令，查看USG5300运行状态，对USG5300进行配置，需要帮助时键入“?”，关于具体的操作请参见后续各章节。 说明： 通过Telnet方式配置USG5300时，请不要改变USG5300上Telnet连接的IP地址，否则Telnet连接将断开。 父主题： 搭建配置环境 华为赛门铁克专有和保密信息 版权所有 © 成都市华为赛门铁克科技有限公司 通过SSH方式接入设备 通过SSH方式接入USG5300进行配置能更好地保证数据信息交换的安全。 组网需求 配置终端PC与USG5300建立连接，终端上运行支持SSH1.5的客户端软件，更大限度的保证数据信息交换的安全。 在USG5300上配置用户client001采用密码验证，client002采用RSA验证，使这两个用户能在终端上使用支持SSH1.5的客户端软件登录到USG5300。 组网图如图1和图2所示。 图1 通过局域网搭建SSH登录环境 图2 通过广域网搭建SSH登录环境 操作步骤 1. 通过USG5300的Console接口搭建配置环境。具体方法请参见“通过Console口接入设备”。 2. 配置接口IP地址。 # 进入系统视图。 <USG5300> system-view # 进入GigabitEthernet 0/0/0视图。 [USG5300] interface GigabitEthernet 0/0/0 # 配置GigabitEthernet 0/0/0的IP地址。 [USG5300-GigabitEthernet0/0/0] ip address 10.1.1.1 255.255.255.0 # 退回系统视图。 [USG5300-GigabitEthernet0/0/0] quit 3. 配置静态路由。 说明： 图2中，USG5300和PC上需要配置静态路由。假设GigabitEthernet 0/0/0的下一跳IP地址为10.1.1.5/24，PC的下一跳IP地址为30.3.3.2/24。 [USG5300] ip route-static 30.3.3.0 24 10.1.1.5 在PC上配置：route add 10.1.1.1 mask 255.255.255.0 30.3.3.2 4. 将GigabitEthernet 0/0/0接口加入Trust区域。 5. [USG5300] firewall zone trust 6. [USG5300-zone-trust] add interface GigabitEthernet 0/0/0 [USG5300-zone-trust] quit 7. 配置域间包过滤。 说明： 本步骤配置以局域网环境为例。如果是广域网环境，将IP地址10.1.1.2替换为30.3.3.3即可。 # 配置包过滤ACL规则。 [USG5300] acl number 3101 [USG5300-acl-adv-3101] rule permit ip source 10.1.1.1 0 destination 10.1.1.2 0 [USG5300-acl-adv-3101] quit [USG5300] acl number 3102 [USG5300-acl-adv-3102] rule permit ip source 10.1.1.2 0 destination 10.1.1.1 0 [USG5300-acl-adv-3102] quit # 将ACL规则应用在Trust和Local区域之间。 [USG5300] firewall interzone trust local [USG5300-interzone-local-trust] packet-filter 3101 outbound [USG5300-interzone-local-trust] packet-filter 3102 inbound [USG5300-interzone-local-trust] return 8. 配置SSH用户“client001”。 # 配置RSA本地密钥对，并根据提示信息键入比特数，本例键入512。 说明： 如果此前已完成该配置，此处可以略过。 <USG5300> system-view [USG5300] rsa local-key-pair create The key name will be: USG5300_Host The range of public key size is (512 ~ 2048). NOTES: If the key modulus is greater than 512, It will take a few minutes. Input the bits in the modulus[default = 512]:512 Generating keys... ......++++++++++++ .......................++++++++++++ ................++++++++ ..................++++++++ # 进入VTY 0-4用户视图。 [USG5300] user-interface vty 0 4 # 配置登录用户界面的认证方式。 [USG5300-ui-vty0-4] authentication-mode aaa # 配置用户界面仅支持SSH协议。 [USG5300-ui-vty0-4] protocol inbound ssh # 退回系统视图。 [USG5300-ui-vty0-4] quit # 进入AAA视图。 [USG5300] aaa # 配置本地用户的用户名和密码。 [USG5300-aaa] local-user client001 password simple client001 # 配置本地用户的等级。 [USG5300-aaa] local-user client001 level 3 # 退回系统视图。 [USG5300-aaa] quit # 配置本地用户的验证方式。 [USG5300] ssh user client001 authentication-type password SSH的验证超时时间、重试次数以及服务器密钥更新时间可以采取系统默认值，以上配置完成后，可以在配置终端PC上，运行支持SSH1.5的客户端软件，以用户名“client001”，密码“client001”，访问USG53